WordPressの4.7.2のアップデート記事にも追記しておいたけど、最新のアップデートには安全性を確保の為、伏せられていた深刻な脆弱性の報告が含まれていた。
WordPress 4.7.2のアップデートが来る 3件の問題を修正 (追記: 安全の為、直ちに情報開示されなかった一つの修正)
その重大な脆弱性の修正を伏せた理由は、悪用拡大をWordpressの方が警戒していたからで、それでも日本においてかなり被害が拡大したと今日読む事にもなった。
WordPress脆弱性狙う複数の攻撃キャンペーン - すでに数万件規模の被害か
既にこの騒ぎは、商工会議所のサイトまでがアップデートを推奨する事態にまで至っていて、多くの企業のサイトがWordpressを使用しているだろうことが理解できる。
自分のところは、いつもWPのアップデートが来ると速攻でアップデートをしてしまうけど、サイトの管理画面を見てれば、口うるさいほどにWordpressのアップデート告知が出て来て「早くアップデートしろ」と促して来る。
今回、被害にあったサイトは、暫く管理画面に担当者が居なかったのか、それとも、何か理由があって先延ばしにしていたのか? サイト放置も怖い時代になって来た...
今回の件で、再び徳丸氏がその検証記事をあげてくれていた。
WordPress 4.7.1 の権限昇格脆弱性について検証した
これを読んで、かつて話題になった徳丸氏のこの言葉を思い出す。
何度でも言うが、自力でトラブルシューティングできない人や組織は、自前でWordPres立ててはいけない / “一般ブロガーがAmazon Web Service(AWS)で独自ドメインのWordpressサイトを10分で作る方法…” https://t.co/ycOgWdZz8E
— 徳丸 浩 (@ockeghem) June 19, 2016
この言葉には全く同意。リスク管理が出来なかったり、それに真剣に向き合ったり勉強して行く意識が無いなら、Wordpressではサイトを運営しない方が良い事は自分も何度も書いて来た。
(1/7 ”最初からSSL化ブログが作れるサービス ⇒ WordPress.com”より)
最近、やたらにWordpressでのサイト運営の素晴らしさやSEOについてアピールするサイトがあるけど、しかし、Wordpressでの運営においてのセキュリティ・リスクについて触れるサイトは本当に少ない。
しかし、実際、あのパナマ文書の情報流出さえ、Wordpressのプラグインの脆弱性から行われた事も噂になったし、これだけ日夜脆弱性が問題になる世の中では、Wordpressでのサイト運営は、おめでたいアフィリサイトが歌うほど簡単なものじゃなくなって来てると思っている。
いや、これはWordpressをけなしてるわけじゃなくて、Wordpressは今も自分にとっては夢のツールだし、それを勉強するのが楽しいから10年もWordpressでサイトをやってるわけで。
それにこんな事を書いてるけど、こういう世の中では自分のところだって「明日は我が身」の可能性だってあって、だから、こういう問題にはスルーできないし、自分も更に勉強して行く必要がある...
自分もIT系の仕事をしてるわけじゃないし、助けになるものは、英語をあまり苦にしないから海外から情報を得やすい...くらいなもの。それでも、そのお陰で海外の人の色々な意見や示唆で、解決しやすい立場にはあると思っている。Wordpressでサイトを運営する場合、今においても英語が多少なり理解できる事は強い味方にもなってくれる。